¿OpenID Connect Hybrid Flow devuelve el token de ID en el punto final del token?

2

En OpenID Connect, hay un flujo llamado "flujo híbrido". El flujo híbrido retorna, dependiendo del tipo de respuesta (por ejemplo, id_token code , id_token code token ), el token de ID inmediatamente. Mi pregunta si el punto final /token debería devolver un token de ID incluso si el punto final% co_de ya emitió un token de ID (por ejemplo, cuando response_type es /authorize ).

También me gustaría saber si el punto final id_token code devuelve un token de ID cuando el tipo de respuesta es /token y el ámbito contiene code token .

Las especificaciones realmente no brindan mucha información sobre este asunto (o estoy mirando las secciones incorrectas): enlace

    
pregunta machete 08.03.2016 - 08:42
fuente

1 respuesta

1

Capítulo 3.3.3.6 de la especificación de openid-connect-core-1_0 que está vinculando:

  

Cuando se utiliza el flujo híbrido, el contenido de un token de ID devuelto desde el punto final de token es el mismo que para un token de ID devuelto desde el punto final de autorización, como se define en la Sección 3.3.2.11, con la excepción de las diferencias especificadas en esta sección.

     

Si se devuelve un token de ID desde el punto final de autorización y desde el punto final del token, que es el caso de los valores de tipo de respuesta código id_token y token id_token, los valores de reclamación iss y sub DEBEN ser idénticos en ambos tokens ID. Todos los reclamos sobre el evento de autenticación presentes en cualquiera DEBERÍAN estar presentes en ambos. Si cualquiera de los token de ID contiene reclamaciones sobre el usuario final, cualquiera que esté presente en ambos DEBERÍA tener los mismos valores en ambos. Tenga en cuenta que el OP PUEDE optar por devolver menos reclamaciones sobre el usuario final desde el punto final de autorización, por ejemplo, por motivos de privacidad. Las reclamaciones at_hash y c_hash PUEDEN omitirse en el token de ID devuelto desde el punto final del token, incluso cuando estas reclamaciones están presentes en el token de ID devuelto desde el punto de autorización, porque los valores del token de ID y el token de acceso devueltos desde el punto final de token ya están vinculados criptográficamente juntos por el cifrado TLS realizado por el punto final de token.

Mi interpretación sería que, sí, /token endpoint devuelve el token de ID si el tipo de respuesta "id_token" se solicitó originalmente.

    
respondido por el Vilmantas Baranauskas 08.03.2016 - 12:12
fuente

Lea otras preguntas en las etiquetas